Puntos clave de la noticia:
-
Hackers norcoreanos usaron npm para distribuir más de 300 paquetes maliciosos que robaron credenciales y claves de wallets.
-
Los atacantes emplearon nombres parecidos a librerías populares y perfiles falsos de reclutadores en LinkedIn para infiltrar código en cadenas de dependencias automatizadas.
-
Socket reporta cerca de 50.000 descargas antes de que los paquetes fueran retirados.
Los investigadores de la firma Socket identificaron una campaña de hackers respaldados por el Estado norcoreano que aprovechó el registro npm para distribuir malware dirigido a desarrolladores de la industria cripto y de la blockchain.
Según el informe, más de 300 paquetes maliciosos se subieron al repositorio bajo la denominación «Contagious Interview» y adoptaron nombres parecidos a librerías conocidas para evitar sospechas.
Los paquetes se presentaron como módulos inofensivos, pero al instalarse ejecutaron scripts que robaron credenciales, extrajeron datos del navegador y recuperaron claves de wallets de criptomonedas.
¿Cómo Operaron los Hackers Norcoreanos?
Los hackers coreanos emplearon cargadores cifrados que descifraron las cargas maliciosas directamente en la memoria, lo que redujo las trazas en disco y complicó las investigaciones forenses. La firma Socket calculó cerca de 50.000 descargas antes de que muchos paquetes fueran retirados; sin embargo, algunos permanecen accesibles.
Para atraer a las víctimas, los atacantes utilizaron perfiles falsos de reclutadores en LinkedIn y enviaron ofertas de trabajo que actuaron como señuelos. Además, emplearon los nombres con errores ortográficos de librerías como express, dotenv y hardhat, lo que facilitó que los paquetes entraran en cadenas de dependencias automatizadas sin revisión manual.
El incidente ha expuesto la vulnerabilidad de la cadena de suministro de software: al comprometer un repositorio central, los atacantes lograron propagar código malicioso a numerosas aplicaciones dependientes y a entornos productivos sin atacar individualmente cada objetivo. Las técnicas y patrones observados por los investigadores coinciden con familias de malware que se habían vinculado anteriormente a Corea del Norte, como BeaverTail e InvisibleFerret, y aportan evidencia que respalda tal atribución.
La Respuesta de GitHub
GitHub, propietario de npm, declaró que elimina paquetes maliciosos cuando se detectan y que está reforzando la verificación de cuentas para reducir la actividad maliciosa. Aun así, los especialistas consideran la respuesta insuficiente mientras persistan prácticas de instalación rápida y dependencias sin auditorías. Por esa razón, recomiendan tratar cada comando «npm install» como una ejecución de código potencial, auditar dependencias antes de integrarlas en repositorios y desplegar herramientas automáticas de escaneo y verificación.
El mundo open-source es crucial para fomentar la innovación, pero al mismo tiempo ofrece una vía de ataque cuando actores sofisticados deciden convertir repositorios en vectores maliciosos. Las empresas y los equipos de desarrollo deben reforzar controles, proteger credenciales y diseñar procedimientos que reduzcan al mínimo
